

# SEC10-BP08 建立從事故中學習的架構
<a name="sec_incident_response_establish_incident_framework"></a>

 實作 *經驗教訓* 的架構和根本原因分析能力，不僅有助改善事故應變能力，還有助防止事故重複發生。透過學習每個事故，您可以協助避免重複相同的錯誤、披露或錯誤設定，不僅能夠改善安全狀態，還可以盡可能縮短因可預防情況而損失的時間。 

 **未建立此最佳實務時的曝險等級：** 中 

## 實作指引
<a name="implementation-guidance"></a>

 實作 *經驗教訓* 是非常重要的，其可在高層級實現以下幾點： 
+  什麼時候開設經驗教訓課程？ 
+  經驗教訓課程中包含哪些內容？ 
+  經驗教訓課程的進行方式？ 
+  這個課程的參與者以及參與方式？ 
+  如何找出待改善之處？ 
+  您將如何確保有效地追蹤和實作待改善之處？ 

 此架構不應該針對或責怪個人，而應該專注於改善工具和流程。 

### 實作步驟
<a name="implementation-steps"></a>

 除了前述所列的高層級結果之外，確保您提出正確問題以從流程中獲得最大價值 (即協助您找到可行改善之處的資訊) 非常重要。考慮這些問題，有助您發起經驗教訓的討論： 
+  事故是什麼？ 
+  第一次識別事故的時間？ 
+  事故的識別方式？ 
+  哪些系統對活動發出提醒？ 
+  涉及哪些系統、服務和資料？ 
+  具體發生的事故？ 
+  哪些方面做得很好？ 
+  哪些方面做得不好？ 
+  哪個流程或程序失敗或未能擴展以回應事故？ 
+  在以下幾個領域有哪些可以改善之處： 
  +  **人員** 
    +  需要聯絡的對象實際上是否有空，並且聯絡人清單是最新的嗎？ 
    +  人們是否缺少有效回應和調查事故所需的培訓或能力？ 
    +  適當的資源是否已準備就緒且可供使用？ 
  +  **流程** 
    +  是否遵循流程和程序？ 
    +  是否已記錄並提供這類事故的流程和程序？ 
    +  是否缺少必要的流程和程序？ 
    +  回應人員是否能夠即時存取所需的資訊以回應問題？ 
  +  **技術** 
    +  現有的提醒系統是否能有效地識別活動，並據以發出提醒？ 
    +  我們如何將偵測時間縮短 50%？ 
    +  是否需要改善現有提醒，或是需要針對此類事故建立新的提醒？ 
    +  現有的工具是否允許對事故進行有效的調查 (搜尋/分析)？ 
    +  可以做什麼來協助加快這類事故的識別速度？ 
    +  可以做什麼來協助避免這類事故再次發生？ 
    +  負責改善計畫的人是誰，您將如何測試是否已實作此計畫？ 
    +  實作和測試其他監控或預防性控制措施和流程的時間表為何？ 

 這份清單並不詳盡，但可作為起點，幫助您識別組織和企業的需求，以及如何分析這些需求，以便最有效地從事故中學習並持續改善安全狀態。最重要的是透過將經驗教訓納入事故應變流程，文件和利害關係人期望的標準部分。 

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [AWS 安全事故應變指南 - 建立從事故中學習的架構](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/establish-framework-for-learning.html) 
+  [NCSC CAF 指南 - 經驗教訓](https://www.ncsc.gov.uk/collection/caf/caf-principles-and-guidance/d-2-lessons-learned) 